《微软证书服务》由会员分享,可在线阅读,更多相关《微软证书服务(25页珍藏版)》请在金锄头文库上搜索。
1、微微 软 证 书 服服 务Microsoft Certification Service谭伟 MCT/ESS Engineer成都金海洋微成都金海洋微软高高级技技术教育中心教育中心.术语lPKI:Public Key Infrastructure 公钥架构lCA:Certificate Authority 证书颁发机构lCRL:Certificate Revocation List 证书吊销列表lCTL:Certificate Trust List 证书信任列表lAIA:Authority Information Access 根证书分发点lPublic Key:公钥lPrivate Key
2、:私钥.证书典型典型应用用l安全的无线网络lEFS加密文件系统l安全的web通讯(https)lIPSECl智能卡l代码签名lVPN.公公钥架构架构PKIl一个工一个工业标准准l以以严密的数学算法密的数学算法为基基础l使用非使用非对称密称密钥对加密(公加密(公钥和私和私钥).证书主体主体l用用户l计算机算机l服服务(应用程序用程序).非非对称密称密钥l用公用公钥加密的加密的, ,只能用相只能用相对应的私的私钥解密解密l用私用私钥加密的加密的, ,只能用相只能用相对应的公的公钥解密解密l公公钥可可发送送给对方方l私私钥由自己保存由自己保存, ,不会随便不会随便发送送给第三方第三方l绝大多数情况下
3、私大多数情况下私钥和公和公钥对是申是申请证书的客的客户计算机生成算机生成的的, ,不是不是CACA生成的生成的, ,不存在私不存在私钥在网在网络中中传输的的问题. .l私私钥是存是存储在申在申请证书的那台的那台计算机上的算机上的.证书的功能的功能l加密加密l签名名l身份身份验证.证书与公与公/私私钥的关系的关系l证书中包含公中包含公钥l公公钥与私与私钥相相对应l私私钥是存是存储在申在申请证书的的计算机中算机中l可以将私可以将私钥导出到出到证书中,但不是每种中,但不是每种证书都可都可以以导出私出私钥(证书模板可以控制)模板可以控制).证书的主要特点的主要特点l包含了包含了证书主体的公主体的公钥l
4、证书是有使用期限的是有使用期限的, ,可以可以续订l描述了使用描述了使用证书的的证书主体主体l描述了描述了证书是由那个是由那个CACA颁发的的.CAl权威的威的证书颁发机构机构l证书主体必主体必须都信任同一个都信任同一个CA(CA(需要配置需要配置) )l只要信任根只要信任根CA,CA,就自就自动信任根信任根CACA下所有子下所有子CACAl有企有企业CACA和独立和独立CACA.企企业CAl企企业CACA需要需要Active DirectoryActive Directoryl企企业CACA可以可以颁发智能卡智能卡证书l企企业CACA通通过webweb方式只能申方式只能申请一部分一部分l域控
5、可自域控可自动申申请, ,默默认自自动颁发证书l结合合组策略使用策略使用.独立独立CAl独立需要独立需要Active DirectoryActive Directoryl独立独立CACA不能不能颁发智能卡智能卡证书l独立独立CACA通通过webweb方式能申方式能申请全部全部证书l需要手需要手动申申请, ,默默认手手动颁发证书.CA的的层次次结构构l单层CA,CA,企企业或独立或独立CA,CA,中小型企中小型企业适用适用l多多层CA,CA,适合大型企适合大型企业适用适用, ,根根CACA长期脱机期脱机, ,严密保密保护, ,建建议根根CACA为独立独立CA.CA.因因为如果是企如果是企业CAC
6、A的的话,6060天需要天需要连入网入网络同步数据。同步数据。.证书存存储区区l用用户证书物理位置是存物理位置是存储在用在用户profileprofilel计算机或服算机或服务证书物理位置是存物理位置是存储在注册表在注册表l逻辑位置位置为个人或受信任的个人或受信任的CACA存存储区区.配置配置CACA信任方法信任方法l证书管理管理单元中手元中手动导入入CACA的的证书l从从webweb下下载CACA的的证书, ,再手再手动导入入l从从AIAAIA分分发点手点手动copycopyl通通过配置配置组策略自策略自动信任信任CACA.证书模板模板l可供可供证书主体申主体申请相相对应的的证书l企企业CA
7、CA所独有所独有, ,独立独立CACA没有没有l有有v1v1和和v2 v2 版本版本lv1v1为灰色灰色, ,不可改不可改,v2,v2为绿色色, ,可以修改可以修改.证书申申请方法方法lWebWebl证书管理管理单元元l命令行命令行lReqReq文件文件l组策略策略.管理管理证书的工具的工具l证书颁发机构机构l证书管理管理单元元l证书模板模板.证书的吊的吊销l通通过CACA管理管理单元来做元来做l管理管理员手手动来来执行行l被吊被吊销的的证书就无效了就无效了l只有吊只有吊销原因原因为”证书待定待定”的才能撤的才能撤销吊吊销.证书的的备份和恢复份和恢复l建建议备份系份系统状状态数据数据l备份企份
8、企业CACA数据数据库间隔隔时间不能超不能超过6060天天.数据存储安全(EFS)lEFS加密的文件,只有用户自己才能复制和打开,管理员也无权限复制和打开l建议用户使用EFS后,导出自己的证书(包含私钥)l可以配置组策略(域环境建议配置默认域策略)来实现故障恢复代理l可以配置EFS共享,实现加密文件共享访问.终端服务器安全终端服务器身份验证和加密:条件:n1.终端服务器使用Windows Server 2003 SP1n2.终端服务器使用“服务器身份验证证书“n3.客户端使用RDP 5.2n4.客户端信任终端服务器的颁发CA细节:n1.客户端和服务器进行SSL身份验证时使用3389端口。n2.
9、客户端连接终端服务器可能需要和证书的common name对应,不然验证可能会失败。.Web服务器安全(SSL)确保Web通讯的安全步骤:n1.给Web服务器颁发“服务器身份验证证书”n2.启用SSL安全通道.安全的电子邮件签名邮件:(确保邮件来自发件人,不会被篡改)n1.发件人用私钥签名邮件n2.收件人用发件人公钥解密签名邮件加密邮件:(确保邮件传递安全)n1.发件人和收件人都需要申请“用户证书”n2.发件人检索收件人“公钥”,并随机生成一次性加密密钥(加密邮件内容,称为“内容密钥”),用“公钥”加密“内容密钥”,传递给收件人n3.收件人用自己“私钥”解密“内容密钥”,用“内容密钥”解密邮件内容.
